Bra med en ny strategi för cybersäkerhet – men den saknar en handlingsplan för svensk IT-infrastruktur

Källa: "När ska regeringen rusta Sveriges IT-infrastruktur?" Altinget, publicerad 2025-02-04 kl. 04:00.

Nyligen presenterade regeringen en ny nationell strategi för cybersäkerhet. Det är ett välkommet initiativ i en situation där både komplexiteten och hoten ökar. De tre föreslagna pelarna rymmer flera viktiga delar kring systematiken, kompetensbehovet och förmågan att förhindra och hantera incidenter. Men grundläggande för att dessa delar ska fungera är en robust och motståndskraftig IT-infrastruktur.

Detta nämns mycket lite i strategin. Det konstateras kort att organisationer riskerar att bli sårbara om deras IT-leverantörer misslyckas att leverera tjänsterna. I den mån kritisk infrastruktur nämns läggs ansvaret primärt på leverantörerna med hänvisning till den nya lagstiftningen NIS2, men samtidigt konstateras behovet av robustare, digitala leveranskedjor och minskade tredjelandsberoenden.

Trots ökande cyberhot, geopolitisk protektionism och den juridiska osäkerheten kring dataöverföringsavtal har alltför lite hänt. Det är därför viktigt att påminna om att den digitala infrastrukturen är minst lika kritisk för Sverige som den fysiska.

Kort sagt: Strategin behöver kompletteras med en konkret handlingsplan för hur Sverige ska kunna säkra en robust IT-infrastruktur. En som fungerar i fred, men även i kris och krig.

I den övergripande debatten om totalförsvarets behov av en säker, svensk infrastruktur diskuteras oftast telekom-infrastruktur, vägar, järnvägar och elnät. Men i snart ett decennium har utredning efter utredning även slagit fast behovet av en säker och resilient IT-infrastruktur.

Utredningarna har primärt värnat den offentliga sektorns behov, men det handlar om mer än kommuner, regioner och myndigheter. En robust IT-infrastruktur är helt avgörande för svenska företag, vars konkurrenskraft riskerar att urholkas om man står utan robusta, digitala alternativ när förutsättningarna förändras.

Nyligen fick regeringen kritik av Riksrevisionen för en ineffektiv statlig styrning när det kommer till uppbyggnad av det civila försvaret. Här nämns knappt IT-infrastruktur överhuvudtaget. Rapporten nämner försvarsbeslutet 2016, där det ställdes krav på att kommuner, regioner och myndigheter skulle kunna kommunicera på ett säkert sätt och hantera känslig information. Den förmågan skulle finnas i totalförsvaret fyra år senare, men frågan aktualiserades igen 2019, i regeringens strategi för ett hållbart, digitaliserat Sverige. Ytterligare två år senare, 2021, presenterades den s.k. IT-driftsutredningen, som talade sig varm för en statlig lösning för att skapa en säker och kostnadseffektiv IT-drift för offentlig sektor.

Återigen fokus på offentlig sektor. Inte alls oviktigt, men tydligt blir – sett till Sveriges och Europas senfärdighet att tillämpa AI och digitalisering – att Sverige från centralt håll inte uppmärksammat inhemska företags behov av digital suveränitet och redundans. Det handlar inte endast om energieffektiv serverdrift och gröna datacenter, utan om förutsättningarna att utveckla nya lösningar utan avbrott, oavsett externa omständigheter.

Idag kan man konstatera att varken privat eller offentlig sektor fått tydlighet från myndighetshåll på några av dessa punkter.

Frågan kompliceras ytterligare av den juridiska situationen. Gång på gång har dataöverföringsavtalen mellan EU och USA underkänts. Det lämnar svenska företag i en juridisk gråzon där USAs långtgående befogenheter och tillgång till data ställs mot GDPR.

Framåt krävs åtgärder på flera nivåer:

För det första behöver svenska företag, kommuner, regioner och myndigheter en betydligt större kunskap om förutsättningarna runt sin egen IT-infrastruktur. Du kanske känner till var din data geografiskt är lagrad, men vet du var backuperna finns, vilka som övervakar miljöerna samt vilket lands lagstiftning som gäller – eftersom lagstiftning följer ägandet?

För det andra behöver fler utvärdera sina cloud-strategier och bygga en infrastruktur som kombinerar fördelarna med publika molnlösningar med tryggheten och långsiktigheten i svenska och europeiska privata moln. Här behöver Europa aktivt arbeta för att stå med konkurrenskraftiga alternativ likt de brett använda och populära utländska molntjänsterna.

För det tredje behövs en nationell handlingsplan för att säkra uppbyggnaden av en kostnadseffektiv, säker och robust IT-infrastruktur i Sverige, där svenskägda privata aktörer ges förutsättningar att etablera sig och växa konkurrenskraftigt.

En nationell strategi för cybersäkerhet är positiv på många sätt. Men frågan om IT-infrastruktur lyser med sin frånvaro i det offentliga samtalet, fastän den sedan många år blivit en allt viktigare del i bygget av ett starkt, svenskt totalförsvar.

Christina Backlund

VD för Shibuya, en svensk IT-leverantör med datacenter i Sverige sedan 1964.